每日作業指南 - Microsoft Defender for Cloud Apps
本文列出我們建議您使用 Defender for Cloud Apps 執行的每日作業活動。
檢閱警示和事件
警示和事件是您的安全性作業 (SOC) 小組每天應該檢閱的兩個最重要專案。
在 Microsoft Defender 全面偵測回應 中定期從事件佇列分級事件和警示,並排定高和中嚴重性警示的優先順序。
如果您使用 SIEM 系統,您的 SIEM 系統通常是分級的第一站。 SIEM 系統透過額外的記錄和SOAR功能提供更多內容。 然後,使用 Microsoft Defender 全面偵測回應 以深入瞭解警示或事件時程表。
將事件從 Microsoft Defender 全面偵測回應 分級
其中:在 Microsoft Defender 全面偵測回應 中,選取 [事件 & 警示]
個人:SOC 分析師
分級事件時:
在事件儀錶板中,篩選下列專案:
篩選器 值 狀態 新增,進行中 嚴重性 高、中、低 服務來源 檢查所有服務來源。 若要讓所有服務來源保持核取狀態,應該會列出最精確的警示,並與其他Microsoft XDR 工作負載相互關聯。 選取 [Defender for Cloud Apps],以檢視來自 Defender for Cloud Apps 的專案。 選取每個事件以檢閱所有詳細數據。 檢閱事件中的所有索引標籤、活動記錄和進階搜捕。
在事件的 [ 辨識項和回應] 索引 標籤中,選取每個辨識項專案。 選取選項功能表 >[調查] ,然後視需要選取 [活動記錄 ] 或 [搜捕 ]。
將您的事件分級。 針對每個事件,選取 [管理事件 ],然後選取下列其中一個選項:
- 真肯定
- 誤判
- 信息、預期的活動
針對真正的警示,請指定處理類型,以協助您的安全性小組查看威脅模式,並保護您的組織免於風險。
當您準備好開始進行中調查時,請將事件指派給使用者,並將事件狀態更新為 [進行中]。
補救事件時,請加以解決,以解決所有連結和相關的作用中警示。
如需詳細資訊,請參閱:
- 在 Microsoft Defender 全面偵測回應 中排定事件的優先順序
- 調查 Microsoft Defender 全面偵測回應 中的警示
- 事件回應劇本
- 如何調查異常偵測警示
- 管理應用程式控管警示
- 調查威脅偵測警示
將您的事件從 SIEM 系統分類
個人:SOC 分析師
必要條件:您必須連線到 SIEM 系統,我們建議您與 Microsoft Sentinel 整合。 如需詳細資訊,請參閱:
整合 Microsoft Defender 全面偵測回應 與 Microsoft Sentinel 可讓您將所有 Microsoft Defender 全面偵測回應 事件串流至 Microsoft Sentinel,並讓兩個入口網站之間的事件保持同步。 Microsoft Defender 全面偵測回應 中的事件 Microsoft Sentinel 包含所有相關聯的警示、實體和相關信息,提供足夠的內容來分級和執行初步調查。
一旦進入 Microsoft Sentinel,事件會與 Microsoft Defender 全面偵測回應 保持同步,讓您可以在調查中使用來自這兩個入口網站的功能。
- 針對 Microsoft Defender 全面偵測回應 安裝 Microsoft Sentinel 的數據連接器時,請務必包含 Microsoft Defender for Cloud Apps 選項。
- 請考慮使用 串流 API 將資料傳送至事件中樞,以便透過任何具有事件中樞連接器的合作夥伴 SIEM 取用數據,或放在 Azure 記憶體中。
如需詳細資訊,請參閱:
檢閱威脅偵測數據
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取:
- 事件 & 警示
- 雲端應用程式原則>>原則管理>威脅偵測
- 雲端應用程式 > Oauth 應用程式
角色:安全性系統管理員和SOC分析師
雲端應用程式威脅偵測是許多SOC分析師聚焦其日常活動的位置,可識別顯示異常行為的高風險使用者。
Defender for Cloud Apps 威脅偵測會使用Microsoft威脅情報和安全性研究數據。 警示可在 Microsoft Defender 全面偵測回應 中使用,而且應該定期分級。
當安全性系統管理員和SOC分析師處理警示時,他們會處理下列主要類型的威脅偵測原則:
Persona:安全性系統管理員
請務必建立組織所需的威脅防護原則,包括處理任何必要條件。
檢閱應用程式控管
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取:
- 事件 & 警示
- 事件 & 警示/應用程式控管
個人:SOC 分析師
應用程式控管提供 OAuth 應用程式的深入可見度和控制。 應用程式控管有助於對抗日益複雜的活動,利用部署在內部部署和雲端基礎結構中的應用程式,建立許可權提升、橫向移動和數據外流的起點。
應用程式控管會與 Defender for Cloud Apps 一起提供。 警示也可在 Microsoft Defender 全面偵測回應 中使用,而且應該定期分級。
如需詳細資訊,請參閱:
檢查應用程式控管概觀頁面
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取:
- 事件 & 警示
- 雲端應用程式 > 應用程式控管 > 概觀
角色:SOC 分析師和安全性系統管理員
我們建議您對應用程式和事件的合規性狀態執行每日快速評估。 例如,請檢查下列詳細資料:
- 過度特殊許可權或高度特殊許可權的應用程式數目
- 具有未驗證發行者的應用程式
- 使用 圖形 API 存取之服務和資源的數據使用量
- 存取具有最常見敏感度標籤資料的應用程式數目
- 跨 Microsoft 365 服務存取具有和不含敏感度標籤資料的應用程式數目
- 應用程式控管相關事件的概觀
根據您檢閱的數據,您可能會想要建立新的或調整應用程式控管原則。
如需詳細資訊,請參閱:
檢閱 OAuth 應用程式數據
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取:
- 事件 & 警示
- 雲端應用程式 > 應用程式控管 > Azure AD
建議您每天檢查已啟用 OAuth 的應用程式清單,以及相關的應用程式元數據和使用量數據。 選取應用程式以檢視更深入的深入解析和資訊。
應用程式控管會使用機器學習型偵測算法來偵測 Microsoft Defender 全面偵測回應 租使用者中的異常應用程式行為,併產生您可以查看、調查及解決的警示。 除了此內建偵測功能之外,您還可以使用一組默認原則範本,或建立自己的應用程式原則來產生其他警示。
如需詳細資訊,請參閱:
建立和管理應用程式控管原則
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取 [雲端應用程式應用程式>控管>原則]
角色:安全性系統管理員
我們建議您每天檢查您的 OAuth 應用程式,以取得一般深入的可見性和控制。 根據機器學習演算法產生警示,並建立應用程式控管的應用程式原則。
如需詳細資訊,請參閱:
檢閱條件式存取應用程控
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取:
- 事件 & 警示
- 雲端應用程式 > 原則 > 原則管理 > 條件式存取
若要設定條件式存取應用程控,請選取 [ 設定雲端 > 應用程式 > 條件式存取應用程控]
Persona:安全性系統管理員
條件式存取應用程控可讓您根據存取和會話原則,即時監視和控制使用者應用程式存取和會話。
產生的警示可在 Microsoft Defender 全面偵測回應 中使用,而且應該定期分級。
根據預設,不會部署任何存取或會話原則,因此沒有相關的警示可用。 您可以將任何 Web 應用程式上線以使用存取和工作階段控制件,Microsoft Entra ID 應用程式會自動上線。 建議您視需要為組織建立會話和存取原則。
如需詳細資訊,請參閱:
- 檢視和管理事件和警示
- 使用 Microsoft Defender for Cloud Apps 條件式存取應用程控來保護應用程式
- 禁止和防止將敏感性資料下載至未受管理或有風險的裝置
- 強制執行即時工作階段控制,保護與外部使用者之間的共同作業
角色:SOC 系統管理員
建議您每天檢閱條件式存取應用程控警示和活動記錄。 依來源、訪問控制和會話控件篩選活動記錄。
如需詳細資訊,請 參閱檢閱警示和事件
檢閱陰影 IT - 雲端探索
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取:
- 事件 & 警示
- 雲端應用程式 > 雲端探索/雲端應用程式目錄
- 雲端應用程式 > 原則 > 原則管理 > 影子 IT
角色:安全性系統管理員
適用於雲端應用程式的 Defender 會針對超過 31,000 個雲端應用程式的雲端應用程式目錄分析您的流量記錄。 應用程式會根據超過90個風險因素進行排名和評分,以提供雲端使用、影子IT以及影子IT對組織所帶來風險的持續可見度。
與雲端探索相關的警示可在 Microsoft Defender 全面偵測回應 中取得,而且應該定期分級。
建立應用程式探索原則,以根據特定條件開始警示和標記新探索到的應用程式,例如風險分數、類別和應用程序行為,例如每日流量和下載的數據。
提示
建議您將 Defender for Cloud Apps 與 適用於端點的 Microsoft Defender 整合,以探索公司網路或安全閘道以外的雲端應用程式,並在您的端點上套用治理動作。
如需詳細資訊,請參閱:
角色:安全性與合規性系統管理員、SOC 分析師
當您有大量探索到的應用程式時,您可能會想要使用篩選選項來深入瞭解探索到的應用程式。
如需詳細資訊,請參閱在 Microsoft Defender for Cloud Apps 中探索到的應用程式篩選和查詢。
檢閱雲端探索儀錶板
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取 [雲端應用程式>雲端探索>儀錶板]。
角色:安全性與合規性系統管理員、SOC 分析師
建議您每天檢閱雲端探索儀錶板。 雲端探索儀錶板的設計目的是讓您更深入瞭解組織中雲端應用程式的使用方式,並提供所使用應用程式的小孩概觀、開啟的警示,以及組織中應用程式的風險層級。
在雲端探索儀錶板上:
使用頁面頂端的小工具來了解整體雲端應用程式使用量。
根據您的興趣,篩選儀錶板圖形以產生特定檢視。 例如:
- 了解組織中使用的主要應用程式類別,特別是針對獲批准的應用程式。
- 檢閱探索到之應用程式的風險分數。
- 篩選檢視以查看您在特定類別中的熱門應用程式。
- 檢視熱門使用者和IP位址,以識別組織中最主要雲端應用程式用戶的使用者。
- 檢視世界地圖上的應用程式數據,以瞭解探索到的應用程式如何依地理位置散佈。
檢閱環境中探索到的應用程式清單之後,建議您核准安全的應用程式 (獲 批准 的應用程式) 、禁止不想要的應用程式 (未經批准 的應用程式) ,或套用自定義標籤,來保護您的環境。
您可能也想要主動檢閱標籤,並將標籤套用至雲端應用程式目錄中可用的應用程式,再於您的環境中探索到這些應用程式。 若要協助您管理這些應用程式,請建立由特定標籤觸發的相關雲端探索原則。
如需詳細資訊,請參閱:
提示
視您的環境設定而定,您可能會受益於無縫且自動化的封鎖,甚至是 適用於端點的 Microsoft Defender 所提供的警告和教育功能。 如需詳細資訊,請參閱整合 適用於端點的 Microsoft Defender 與 Microsoft Defender for Cloud Apps。
檢閱信息保護
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取:
- 事件 & 警示
- 雲端應用程式 > 檔案
- 雲端應用程式原則>>原則管理>信息保護
角色:安全性與合規性系統管理員、SOC 分析師
Defender for Cloud Apps 檔案原則和警示可讓您強制執行各種自動化程式。 建立原則來提供信息保護,包括持續合規性掃描、合法電子檔探索工作,以及公開共用敏感性內容的 DLP) (數據遺失保護。
除了 分級警示和事件之外,我們建議您的SOC小組執行額外的主動式動作和查詢。 在 [ 雲端應用程式 > 檔案] 頁面中,檢查下列問題:
- 公開共用多少個檔案,讓任何人都可以不使用連結來存取這些檔案?
- 您要使用輸出共享來共用檔案的合作夥伴為何?
- 是否有任何檔案具有敏感性名稱?
- 是否有任何檔案與某人的個人帳戶共用?
使用這些查詢的結果來調整現有的檔案原則或建立新的原則。
如需詳細資訊,請參閱: